FamousSparrow APT

Një grup i ri APT (Kërcënim i Përparuar i Përhershëm) është krijuar në peizazhin e krimit kibernetik. Ajo u zbulua nga studiues të cilët e kanë caktuar atë si FamousSparrow APT. Grupi besohet të jetë formuar rreth vitit 2019 dhe është aktiv që atëherë. Sulmet që i atribuohen FamousSparrow janë përqendruar kryesisht në kompromentimin e sistemeve kompjuterike të hoteleve. Në raste të caktuara, grupi ka synuar gjithashtu organizata qeveritare, kompani private inxhinierike dhe firma ligjore.

Profili i viktimave sugjeron se qëllimi kryesor i FamousSparrow është të kryejë operacione spiunazhi kibernetik. Grupi nuk duket se synon një rajon të caktuar gjeografik konkretisht, pasi viktimat janë zbuluar në mbarë botën - nga SHBA, Brazili, Franca, Anglia, Arabia Saudite, Tajlanda, Tajvani etj.

Zinxhiri i sulmit

Në mars, FamousSparrow rregulloi operacionet e tij të sulmit shpejt dhe filloi të shfrytëzonte dobësitë e Microsoft Exchange të njohura si ProxyLogon. Në atë kohë, mbi 10 grupe të ndryshme APT filluan sulme për të marrë përsipër serverët e postës Exchange. Dobësi të tjera të shfrytëzuara nga grupi prekin Microsoft SharePoint dhe Oracle Opera.

Pas kompromentimit të makinës së viktimës, FamousSparrow vendosi dy versione të personalizuara të Mimikatz dhe një kërcënim malware të panjohur më parë të quajtur SparrowDoor . Përveç kësaj, ata përdorin gjithashtu një ngarkues të personalizuar për derën e pasme, një mjet që duket se ka për detyrë të mbledhë kredencialet dhe një skaner NetBIOS.

Lidhjet me ATP-të e tjerë

Gjatë hetimit të tyre, studiuesit e infosec ishin në gjendje të krijonin disa lidhje midis FamousSparrow dhe ATP-ve tashmë të krijuara. Për shembull, në një rast grupi përdori një variant Motnug, i cili është një ngarkues i lidhur me Hakerat SparklingGoblin. Në një viktimë tjetër, studiuesit gjetën një version aktiv Metasploit që përdorte një domen Command-and-Control (C2, C&C) të lidhur më parë me grupin DRBControl.